Testiranje LDAPS konfiguracijo DC

V skrbi za vedno večjo varnostjo, je treba biti pozoren tudi na dejavnosti znotraj omrežja, ne biti pozoren le na postavitev požarnega zida. Znotraj je potrebno začeti pri temelju – domenski kontrolerji naj imajo vklopljeno obvezno šifrirano ( SSL/TLS) avtentikacijo za dostop do LDAP ( MS Active directory).

Vedno več aplikacij uporablja za prijavo obstoječo LDAP avtentikacijo, da pa ne bi prišlo do kakšnih zlorab, seveda ni zaželjeno, da gre po običajnem portu 389, ki omogoča pošiljanje gesel v nešifrirani obliki.

Dokaz, da domenski kontroler uporablja LDAPS konfiguracijo, ni dovolj, da je odprt LDAPS port ( 636), potrebno je preveriti, da vsak DC podpira tudi SSL/TLS.

Vsak Windows OS, ne samo server ima v ta namen orodje, s katerim lahko preverimo, če deluje SSL/TLS za LDAP. V Start vpišemo LDP.


V povezavo vpišemo željen domenski kontroler, spremenimo port v 636 in obkljukamo SSL. Verjetno bo potrebno za dostop še vpisati userja in geslo, sploh če smo v več domenskem okolju.

LDAPs povezava

Test s powershell ukazom

Za vse ljubitelje PowerShell -a še ukaz, s katerim se potestira, če se je možna LDAPS povezava preko porta 636.

Test-LDAP -ComputerName ‘AD1′,’AD2’ | Format-Table

Saša

Works as system engineer in Slovenian Enterprise in Microsoft environment focusing on security, deployments, SharePoint, SCCM and CheckPoint firewall. Author of successful blog about IT security, Microsoft tips & tricks, social media, internet trends.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.